Geekflare
[gtranslate]
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad  |  Última actualización: 15 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

7 buenas prácticas de seguridad HTML para vulnerabilidades de sitios web estáticos

Por
seguridad del sitio estático

Los sitios web estáticos almacenan contenidos ya renderizados, por lo que no necesitan acceder a ninguna base de datos, ejecutar scripts complejos ni depender de un motor de ejecución cada vez que un usuario solicita una página.

Eso se traduce en claras ventajas en tiempos de carga y seguridad: las páginas estáticas ahorran mucho tiempo de servidor y tienen menos vulnerabilidades. Esto, a su vez, significa que los motores de búsqueda clasificarán mejor las páginas estáticas que sus equivalentes dinámicas.

Los expertos en SEO recurren al contenido estático siempre que pueden, para competir mejor en un mundo en el que una fracción de segundo puede marcar la diferencia entre el éxito total y el fracaso absoluto. El despliegue de contenido estático se ha convertido en una palabra de moda entre los estrategas de marketing, y al personal de TI le encanta tener un punto menos vulnerable que vigilar.

Pero cuidado - no son 100% a prueba de hackers, así que si usted está planeando desplegar contenido estático en su sitio web, hay algunas buenas prácticas que debe seguir para mantenerlo seguro.

Utilizar cabeceras HTTP de seguridad

Cabeceras de seguridad son un subconjunto de cabeceras de respuesta HTTP -un paquete de metadatos, códigos de error, reglas de caché, etc. que el servidor web añade al contenido que sirve- diseñadas para indicar al navegador qué hacer y cómo manejar el contenido que recibe. No todos los navegadores admiten todas las cabeceras de seguridad, pero hay un pequeño conjunto que es bastante común y proporciona medidas de seguridad básicas para impedir que los piratas informáticos exploten las vulnerabilidades.

X-Frame-Options: SAMEORIGIN

El encabezado X-Frame-Options está pensado para desactivar o mitigar los riesgos impuestos por los iframes en su sitio. Los iframes pueden ser utilizados por piratas informáticos para apoderarse de clics legítimos y dirigir a los visitantes a cualquier URL que deseen. Hay distintas formas de evitar el uso indebido de iframes.

La mejor práctica recomendada por OWASP (Open Web Application Security Project) sugiere utilizar este encabezado con la cabecera SAMEORIGIN que permite el uso de iframes sólo por alguien del mismo origen. Otras opciones son DENY, para deshabilitar iframes completamente, y ALLOW-FROM, para permitir sólo URLs específicas para poner páginas en iframes.

Consulte la guía de aplicación de Apache y Nginx.

X-XSS-Protection: 1; mode=block

El encabezado X-XSS-Protection está diseñado para proteger los sitios web de secuencias de comandos en sitios cruzados. Esta función de cabecera puede aplicarse de dos maneras:

  • Protección X-XSS: 1
  • X-XSS-Protection: 1; mode=block

La primera es más permisiva, filtrando los scripts de la petición al servidor web pero renderizando la página de todas formas. La segunda es más segura, ya que bloquea toda la página cuando se detecta un script X-XSS en la petición. Esta segunda opción es la mejor práctica recomendada por OWASP.

X-Content-Type-Options: nosniff

Esta cabecera impide el uso de MIME "sniffing" - una característica que permite al navegador escanear el contenido y responder de forma diferente a lo que indica la cabecera. Cuando esta cabecera está presente, el navegador debe establecer el tipo de contenido según las instrucciones, en lugar de deducirlo "olfateando" el contenido de antemano.

Si aplica este encabezado, debe comprobar que sus tipos de contenido se aplican correctamente en cada página de su sitio web estático.

Content-Type: text/html; charset=utf-8

Esta línea se añade a las cabeceras de petición y respuesta de las páginas HTML desde la versión 1.0 del protocolo HTTP. Establece que todas las etiquetas se rendericen en el navegador, mostrando el resultado en la página web.

Utilizar certificados TLS

Un certificado SSL/TLS es imprescindible para cualquier sitio web porque permite al servidor web cifrar los datos que envía al navegador web a través del protocolo seguro HTTPS. De esta forma, si los datos son interceptados en su viaje, serán ilegibles, lo que es esencial para proteger privacidad del usuario y asegurar el sitio web. Un sitio web estático no almacena la información personal de sus visitantes, pero es esencial que la información que solicitan no pueda ser vista por observadores no deseados.

El uso de cifrado por parte de un sitio web es necesario para ser marcado como sitio seguro por la mayoría de los navegadores web y es obligatorio para los sitios web que pretenden cumplir el Reglamento General de Protección de Datos (RGPD) de la UE. La ley no establece específicamente que deba utilizarse un certificado SSL, pero es la forma más sencilla de cumplir los requisitos de privacidad del reglamento.

En términos de seguridad, el Certificado SSL permite a las autoridades verificar la propiedad de un sitio web e impedir que los piratas informáticos creen versiones falsas del mismo. El uso de un certificado SSL permite al visitante del sitio web comprobar la autenticidad del editor y sentirse seguro de que nadie puede espiar sus actividades en el sitio web.

La buena noticia es que el certificado no cuesta mucho. De hecho, puede obtenerlo GRATIS en ZeroSSL o compre uno de primera calidad en Tienda SSL.

Implantar protección DDoS

Los ataques distribuidos de denegación de servicio (DDoS) son cada vez más comunes hoy en día. En este tipo de ataque, se utiliza un conjunto de dispositivos distribuidos para abrumar a un servidor con una avalancha de peticiones, hasta que se satura y simplemente se niega a funcionar. No importa si su sitio web tiene contenido estático: su servidor web podría convertirse fácilmente en víctima de un ataque DDoS si no toma las medidas necesarias.

La forma más fácil de implementar la protección DDoS en su sitio web es que un proveedor de servicios de seguridad se encargue de todas las amenazas cibernéticas. Este servicio proporcionará detección de intrusiones, servicios antivirales, escaneo de vulnerabilidades y mucho más, por lo que prácticamente no tendrás que preocuparte por ninguna amenaza.

Una solución tan completa puede ser cara, pero también hay soluciones más específicas con costes más bajos, como la Protección DDoS como Servicio (DPaaS). Deberías preguntar a tu proveedor de alojamiento si ofrece un servicio de este tipo.

Otras soluciones más asequibles son protección DDoS basada en la nube como los que ofrece Akamai, Sucurio Cloudflare. Estos servicios ofrecen detección y análisis tempranos de ataques DDoS, así como filtrado y desvío de dichos ataques, es decir, desvío del tráfico malicioso lejos de su sitio web.

Al considerar una solución anti-DDoS, debe prestar atención a su capacidad de red: este parámetro indica cuánta intensidad de ataque puede soportar la protección.

Evite las bibliotecas JavaScript vulnerables

Aunque su sitio web tenga contenido estático, podría utilizar Bibliotecas JavaScript que imponen riesgos de seguridad. En general, se considera que 20% de esas bibliotecas hacen que un sitio web sea más vulnerable. Afortunadamente, puede utilizar el servicio prestado por Base de datos de vulnerabilidades para comprobar si una determinada biblioteca es segura o no. En su base de datos, puedes encontrar información detallada y orientación para un montón de vulnerabilidades conocidas.

Además de comprobar si una biblioteca concreta presenta vulnerabilidades, puede seguir esta lista de mejores prácticas para bibliotecas JavaScript que le proporcionarán soluciones a sus posibles riesgos:

  • No utilices servidores de bibliotecas externos. En su lugar, almacene las bibliotecas en el mismo servidor que aloja su sitio web. Si debe utilizar bibliotecas externas, evite utilizar bibliotecas de servidores en la lista negray compruebe periódicamente la seguridad de los servidores externos.
  • Utilice la gestión de versiones para las bibliotecas JavaScript y asegúrese de utilizar la última versión de cada biblioteca. Si la gestión de versiones no es una opción, al menos debería utilizar versiones libres de vulnerabilidades conocidas. Puede utilizar retirar.js para detectar el uso de versiones vulnerables.
  • Compruebe regularmente si su sitio web utiliza bibliotecas externas que desconoce. De esta forma, sabrá si un hacker inyectó enlaces a proveedores de bibliotecas no deseados. Ataques de inyección son poco probables en sitios web estáticos, pero no estará de más hacer esta comprobación de vez en cuando.

Implantar una estrategia de copias de seguridad

Un sitio web estático debe tener siempre una copia de seguridad de su contenido cada vez que se modifique. Las copias de seguridad deben almacenarse de forma segura y ser fácilmente accesibles en caso de que necesite restaurar su sitio web en caso de caída. Hay muchas formas de hacer copias de seguridad de un sitio web estático, pero en general se pueden clasificar en manuales y automáticas.

Si el contenido de tu sitio web no cambia con mucha frecuencia, una estrategia de copia de seguridad manual puede ser adecuada: sólo tienes que acordarte de hacer una copia de seguridad nueva cada vez que hagas un cambio en el contenido. Si tienes un panel de control para gestionar tu cuenta de alojamiento, es muy probable que dentro de ese panel de control encuentres una opción para hacer copias de seguridad. Si no, siempre puedes utilizar un cliente FTP para descargar todo el contenido del sitio web a un dispositivo local donde puedas mantenerlo a salvo y restaurarlo si es necesario.

Por supuesto, la opción de copia de seguridad automática es preferible si quieres reducir al mínimo las tareas de gestión de tu sitio web. Pero los proveedores de alojamiento suelen ofrecer copias de seguridad automáticas como prestaciones premium, lo que incrementa el coste total de la seguridad de tu sitio web.

Puede utilizar almacenamiento de objetos en la nube para la copia de seguridad.

Utilice un proveedor de alojamiento fiable

Un servicio de alojamiento web fiable es necesario para garantizar que su sitio web funcione con fluidez y rapidez, pero también para estar seguro de que no será pirateado. La mayoría de las reseñas de alojamiento web le mostrarán cifras y comparaciones sobre velocidad, tiempo de actividad y atención al cliente, pero cuando se trata de la seguridad de un sitio web, hay algunos aspectos que deben observarse cuidadosamente y sobre los que debe preguntar a su proveedor antes de contratar su servicio:

  • Seguridad del software: debe averiguar cómo se gestionan las actualizaciones de software; por ejemplo, si todo el software se actualiza automáticamente o si cada actualización se somete a un proceso de pruebas antes de implantarse.
  • Protección DDoS: en caso de que este tipo de protección esté incluida en el servicio de alojamiento, pida detalles sobre cómo está implementada, para verificar si cumple los requisitos de su sitio web.
  • Disponibilidad y soporte SSL: como en la mayoría de los casos los certificados los gestiona el proveedor de alojamiento, debe comprobar qué tipo de certificado ofrece y cuál es la política de renovación de certificados.
  • Copia de seguridad y restauración: muchos proveedores de alojamiento ofrecen un servicio automatizado de copia de seguridad, lo cual es bueno porque prácticamente te permite olvidarte de hacer copias de seguridad, almacenarlas y mantenerlas actualizadas. Pero ten en cuenta el coste de ese servicio y compáralo con el esfuerzo que te supondrá mantener tú mismo las copias de seguridad de tus contenidos.
  • Protección contra malware: un proveedor de alojamiento fiable debe tener sus servidores protegidos contra malware, realizando escaneos periódicos de malware y controlando la integridad de los archivos. En el caso del alojamiento compartido, es deseable que el proveedor de alojamiento haga uso del aislamiento de cuentas, para evitar que las infecciones por malware se propaguen entre sitios web vecinos.
  • Protección mediante cortafuegos: un proveedor de alojamiento puede aumentar el nivel de seguridad de los sitios web que aloja desplegando un cortafuegos que mantenga alejado el tráfico hostil.

Echa un vistazo a la plataforma fiable de alojamiento de sitios estáticos.

Aplique una política de contraseñas segura

Como un sitio estático no tiene una base de datos ni un sistema de gestión de contenidos, hay que administrar menos nombres de usuario y contraseñas. Pero aún así tienes que aplicar una política de contraseñas para las cuentas de hosting o FTP que utilizarás para actualizar el contenido estático.

Las buenas prácticas para las contraseñas incluyen, entre otras:

  • Cambiarlas periódicamente
  • Establecer una longitud mínima de contraseña.
  • Utilizar combinaciones de mayúsculas y minúsculas junto con caracteres especiales y números
  • Evite comunicarlos por correo electrónico o mensajes de texto.

Además, la contraseña por defecto de las cuentas administrativas debe cambiarse desde el principio: se trata de un error común que los piratas informáticos pueden aprovechar fácilmente. No tengas miedo de perder la contraseña; utiliza una gestor de contraseñas para gestionarlas con seguridad.

Pongámonos estáticos

Hace unos años, el contenido dinámico era lo más: todo podía cambiarse y actualizarse fácilmente, lo que permitía rediseñar un sitio web entero en cuestión de segundos. Pero entonces, velocidad se convirtió en la máxima prioridad, y los contenidos estáticos volvieron a estar de moda.

En ese sentido, todas las prácticas de seguridad de un sitio web deberían reevaluarse: seguro que hay menos aspectos a tener en cuenta, pero no hay que relajarse por ello. Esta lista de buenas prácticas seguramente le ayudará a crear su propia lista de comprobación para mantener su sitio web estático sano y salvo.

  • Geekflare Editorial
    Autor
Etiquetado como
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Lunes.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba el lunes
  • Intruso
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder